giovedì 9 maggio 2013

L'attacco più bello degli ultimi anni

Questo è uno degli attacchi più belli e più istruttivi degli ultimi anni:


Stealthy, malware-spewing server attack not limited to Apache


someone is replacing legitimate web server software with binaries containing the Cdorked backdoor, but exactly how they're doing it remains a mystery.

In parole poverissime, il codice sorgente di alcuni tra i web server più diffusi è stato modificato in modo fraudolento; adesso contiene del codice che:

  1. effettua, in modo nascosto, redirection verso siti che tentano di iniettare malware;
  2. è controllabile, in modo nascosto, da remoto;

Questo attacco è "bello" perché nessuno ha ancora capito come faccia l'attaccante a modificare il codice del web server, e perché il funzionamento del codice fraudolento incorpora numerose tecniche per renderne complicata la rilevazione. Sono elencate nell'articolo: solo alcuni utenti subiscono la redirection, secondo un pattern "inexplicable"; un utente che è stato rediretto può non essere rediretto nuovamente; etc

E' anche un attacco molto "istruttivo" perché dimostra in modo lampante il problema più radicale e più evidente di tutti i marchingegni informatici. Problema di cui però, purtroppo, pochi hanno coscienza, nonostante sia un problema molto semplice da capire---non occorre avere grandi competenze tecniche.

Il problema è che ogni calcolatore può eseguire azioni fraudolente in modo completamente nascosto al suo proprietario. Può farlo attraverso software di cui il proprietario non sospetta neanche la presenza, oppure attraverso software che dovrebbe fare una cosa e invece ne fa un'altra. Ergo, ogni calcolatore può essere un nemico.

Ciò non è una "possibilità teorica", ma un fenomeno concreto e diffuso. Sia sul lato client (vedi ad esempio questo post) sia, come si vede in questo caso, sul lato server.

Le implicazioni di questi dati di fatto sono enormi.

Posta un commento